Keamanan aplikasi web menjadi isu krusial di era digital saat ini, mengingat tingginya frekuensi serangan siber. Penelitian ini bertujuan untuk mengidentifikasi dan mengevaluasi kerentanan keamanan pada aplikasi web Universitas Islam Negeri Walisongo Semarang, serta memberikan rekomendasi mitigasi. Metode yang digunakan dalam penelitian pengujian penetrasi (penetration testing) ini dengan menggunakan standar Open Web Application Security Project (OWASP). Proses pengujian mengacu pada Penetration Testing Execution Standard (PTES), yang mencakup Pre-Engagement Interaction, Intelegence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Post Exploitation, dan Reporting. Selain itu, penelitian ini juga memanfaatkan OWASP Testing Guide (WSTG) v4.2 sebagai checklist untuk mengidentifikasi berbagai jenis kerentanan. Hasil pengujian dievaluasi menggunakan OWASP Risk Rating digunakan untuk menentukan tingkat keparahan setiap kerentanan yang ditemukan. Setelah dilakukan penilaian terhadap setiap kerentanan, didapatkan nilai Overall Risk Severity sebesar 2.578 dengan kategori rendah. Ini berarti secara keseluruhan, risiko keamanan pada website UIN Walisongo masih tergolong rendah. Dan kerentanan yang didapatkan seperti clickjacking attack, konfigurasi halaman admin login default, halaman debuging yang dapat diakses dan kurangnya implementasi header keamanan yang lengkap. Adanya kerentanan clickjacking attack menjadi perhatian utama karena potensi risiko yang cukup tinggi. Diharapkan penelitian ini dapat memberikan kontribusi dalam meningkatkan keamanan aplikasi web di lingkungan pendidikan tinggi dan memberikan panduan praktis bagi oraganisasi pendidikan lain dalam menghadapi ancaman siber.